Risicoanalyse – de assets

Bij CC blijft de belangrijkste asset, de informatie, in beginsel ongewijzigd. Deze kan zich echter op een andere plek bevinden, namelijk bij de CC service provider. Afhankelijk van het gehanteerde model kan de eigendom van assets zoals de software of de componenten van de IT-infrastructuur wijzigen: de organisatie is niet langer de eigenaar, maar de CC service provider levert deze. Dit heeft consequenties voor wie uiteindelijk verantwoordelijk is voor het treffen van de maatregelen van informatiebeveiliging. Dit vraagt om een trustmodel. Dit model wordt hier besproken.

Risicoanalyse – de (business) impactanalyse

Het is afhankelijk van de situatie of er sprake is van consequenties voor de impactanalyse. De schade als gevolg van het niet kunnen beschikken in de bedrijfsvoering over een systeem en de daarin opgenomen data zal niet verschillen tussen verwerking in eigen beheer of CC. Als er een eis is van 99,7% beschikbaarheid, dan geldt deze zowel bij een reguliere verwerking in eigen beheer als bij de toepassing van CC. Wel dient nadrukkelijk rekening gehouden te worden gehouden met het ‘compliance’ vraagstuk, ofwel het blijvend voldoen aan wet- en regelgeving. Classificatierichtlijnen kunnen voorschrijven dat data niet buiten de organisatie verwerkt mogen worden of er zelfs geen netwerkverbindingen mogen bestaan. Dit geldt bijvoorbeeld voor bepaalde Staatsgeheimen. CC is dan geen optie. Daarnaast geldt dat de grote CC service providers Amerikaanse ondernemingen zijn zodat rekening moet worden gehouden met de effecten van de Patriot Act. Ter ondersteuning van dit deel van de impactanalyse is een hulpmiddel ontwikkeld. Dit gaat uit van de een inventarisatie van de van toepassing zijnde wet- en regelgeving en vertaalt dit zowel richting de toepassing van CC als richting de bedrijfsprocessen. .